Data Link seviyesine örnek ise harici kriptolama cihazlarıdır. Eternet
ortamında kullanılan 10/100 S ile biten modelli kartlar da örnek olarak
verilebilir.
Ancak 2. seviyede kriptolama yapılırsa IP adres kısmı da kriptolanacağı
için yönlendiriciden geçerken paket yeniden deşifre edilmesi ve nereye
gittiğine bakılarak hangi bacaktan atılacağına karar verilmesi gerekecek
ve sonrasında bacaktan atılırken yeniden kriptolanacak. Herkeze açık
bir ağda bunu gerçekleştirmek imkansız. Kapalı ağlar içinde ancak mümkün
olabilir. Diğer çözüm ise veriyi Network seviyesinde kriptolamaktır.
Buna örnek Cisco’nun Kripto teknolojisi CET ve genel bir protokol olan
herkeze açık IPSec verilebilir. CET ve benzerleri üreticinin cihazlarına
bağımlı teknolojiler olması nedeniyle dezavantaja sahiptirler.
IPSec protokolu herkez tarafından ortak kullanılabilen bir protokoldür.
Network seviyesinde çalıştığı için uygulamadan bağımsız olarak her
veriyi şifreler ve şifre sonrası oluşturduğu başlık ile de verinin
internette rahatlıkla yolculuk edebilmesi sağlanır. Bu yüzden de
günümüzde VPN teknolojisinin altyapısını oluşturmaktadır. IPSec protokol
ailesinde çeşitli algoritmalar kullanılmaktadır. Kriptolama amaçlı olan
algoritmaları simetrik ve asimetrik olarak ikiye ayırabiliriz. Aynı
anahtarla şifrelenen veri gene aynı anahtarla açılabiliyorsa simetrik
bir şifreleme algoritması kullanılıyor demektir. Buna örnek DES, 3DES,
Idea, Blowfish, RC2, RC4 verilebilir.
Veri alıcı tarafından eğer ancak bir başka anahtarla açılabiliyor ise bu
durumda asimetrik bir algoritma kullanılmış demektir. Burda bir çift
anahtar kullanılır. Buna örnek RSA, DH (Diffie-Hellman) verilebilir.
IPSec DH kullanır. RSA ise SSH ve PGP ve benzeri uygulamalarda
kullanılır. Şekilde çifte anahtarlama yöntemi anlatılıyor.
Şekilde Tan Ali’ye veri göndermek istiyor. Ali Tan’ a Public anahtarını
gönderiyor. Tan kendi özel anahtarı (Private Key) ile Ali’ nin kendisine
gönderdiği Public anahtarı harmanlayıp bir ortak anahtar elde
ediyor.(Shared Secret). Tan veriyi bu ortak anahtarla şifreleyip karşıya
gönderiyor.
Aynı işlemler Ali tarafından da yapılıyor. Bu şekilde iletişimde
güvenlik sağlanıyor. Bu tarz iki anahtar esasına dayalı algoritma iki
tarafın güvenli olmayan internet gibi bir ortam içinde aralarında
kullanılacak simetrik anahtarı karşıya güvenli şekilde göndermeye yarar.
Taşınacak verinin şifrelenmesinde pek kullanılmazlar. Çünkü örneğin
DES’e kıyasla 10 ila 1000 kat daha yavaş çalışırlar. Bunun sebebi
kullanılan anahtarların 1024/2048 bit olmasından kaynaklanıyor.(Halbuki
simetrik algoritmalar 56-256 bit arası anahtar kullanırlar.) . Simetrik
anahtarı örneğin DES kullanır.
Anahtarı kendi fonksiyonuna katarak hem fonksiyonun özelleştirilmesi
sağlanır hem de bu anahtara bağımlı olan fonksiyondan geçirilen veriler
karşıya güvenli şekilde gider. Alıcı taraf (zaten Diffie-Hellman
aracılığı ile sahip olduğu) simetrik anahtarı kullanır ve içindeki
veriye ulaşır. IPSec’te kullanılan diğer bir algoritma çeşidi ise Hash
algoritmasıdır. Amacı verinin kriptolanmasını sağlamak değil ama verinin
yolda değiştirilmesini önleyerek verinin doğruluğundan alıcı tarafın
emin olmasını sağlamaktır. HMAC, MD5, SHA-1 Hash algoritmalarının en
bilinenleridir. Bunlar tek taraflı fonksiyonlardır. Yani tersi alınamaz.
Şekilde Hash fonksiyonunun nasıl çalıştığı görülüyor. Şekilde veri Hash
fonksiyonundan geçirilerek bir Hash sonucu bulunuyor ve veri ile
birlikte karşıya Hash sonucu da gönderiliyor. Alıcı taraf veriyi aynı
Hash fonksiyonundan geçirerek aynı sonucu bulursa verinin içeriğinin
değişmediğinden emin oluyor. Tünelleme teknolojileri, (IPSec ile
birlikte kullanılırlarsa) kompleks şifreleme prosedürleri ve kimlik
doğrulama protokollerini içerir.
Değerli bilgileri açık ağ olan internet üzerinden geçerken yetkisiz
erişimlerden korur. Tünelleme Teknolojisi interneti kullanarak bir
lokasyondan diğerine veri paketlerinin koruyucu bir şifreleme
algoritmasıyla iletilmesi yöntemidir. Protokol başlığı ve VPN bağlantısı
için kullanılacak protokolün başlık bilgisine eklenir. Veri iletişimi
başladığında, veri paketleri bu yeni ve güvenli protokol başlığı
bilgisini kullanır. IPSec (Internet Protocol Security) en çok kullanılan
güvenlik protokolüdür. IPSec internet üzerinden veri taşınması
işleminde tünelleme, şifreleme ve kimlik doğrulama için kullanılan
standart bir güvenlik protokolüdür. VPN kısaca, herkese açık bir ağ olan
internet üzerinden verilerin güvenli bir şekilde geçirilmesi olarak
tanımlanabilir. VPN herkeze açık ağda yaratılan tünelleme tekniğidir.
Bu amaçla kullanılan tünelleme protokolleri vardır. L2TP tünelleme
ptrotokolu Cisco’nun icadı olan L2F ile Microsoft’un PPTP protokolunun
birlikteliğinden doğmuştur. Microsoft hem PPTP ‘yi hemde L2TP yi de
günümüzde desteklemektedir. Cisco’nun GRE tünelleme protokolu ise daha
çok IPX, CLNP gibi ve diğer IP olmayan paketleri IP içinden taşımak için
kullanılan bir tünelleme tekniğidir. L2TP ve GRE tek başına bir
şifreleme yapmaz ve verinin bütünlüğünü garanti etmezler. Ayrıca
sağladıkları tüneldeki veri monitor edilebilir. Bu eksiklikler her iki
tünelllemenin üzerinde ayrıca IPSec kullanılması ile kapatılmıştır.
(L2TP/IPSec, GRE/IPSec). IPSec de tek başına bir tünelleme
tekniğidir.Verinin mahremiyetini, bütünlüğünü ve kimden geldiğinden emin
olunmasını sağlar.
Şirketlerin VPN’i tercih etmesi için pek çok sebep sıralanabilir. Frame
Relay gibi geleneksel bağlantılarda maliyet çok fazladır. Hattın kopması
durumunda size yeni bir yol tahsis edilmesi zaman alır.Fakat taşıyıcı
medya olarak Internet kullanılır ise bu durumda hem maliyetler çok daha
aza inecektir hemde sizin Servis Sağlayıcınızla aranızdaki bağlantınız
kopmadığı sürece hattın kopması (bulutun içerisinde bir yerlerde kopan
hattan sözediyorum) sizi etkileyemeyecektir. Çünkü internet bulutundaki
bir yerlerde hat kopsada iletişim yönlendiricilerin dinamik çalışması
sayesinde veriler değişik yollardan hedefine gitmeye devam edeceklerdir.
VPN dezavantajı ise uygulamada veriler doğrudan internet arenasından
geçtiği için verilerinizin başkaları tarafından yakalanmasının verdiği
rahatsızlıktır.Verinin yakalanmasında aslında bir risk yok .Veri
yakalansa bile içi okunamayacak veya değiştirilemeyecek. Kullanılan
algoritmalara göre verinin okunması yıllar alabilir. VPN sayesinde
şirketlerin ofislerini birbirine ya da mobil kullanıcılarını merkeze
bağlamak için kendi ağ omurgalarını kurmasına gerek kalmaz. VPN ile her
lokasyon, diğer lokasyonlarla arasındaki bağlantıyı internet üzerinden
kesintisiz ve yüksek hızla gerçekleştirir. VPN, şirketlerin internet
omurgasını kendi omurgaları gibi kullanmalarına imkan vermektedir.
Güvenlik, verilerin bir noktadan diğerine aktarılırken şifrelenmesi ile
gerçekleştirilir. Kiralık hat, Frame Relay, ISDN, gibi bağlantı
şekilleri kullanılarak şirket ofisleri birbirine bağlandığında aradaki
hat özel bir hat olduğu için verilerin çalınması veya değiştirilmesi
mümkün olmaz. Fakat internet üzerinden verilerin taşınması söz konusu
olduğunda verilerin güvenlik amacıyla şifrelenmesi gerekmektedir. VPN
teknolojileri bunu sağlar. VPN herkeze açık bir ağ içinde özel ağınızı
kurmanızı sağlar. VPN’i kullanım şekillerine göre ikiye ayırabiliriz: 1-
Site-to-Site VPN tüm lokasyonları
ve merkezi güvenli bir biçimde birbirine bağlar. 2- Şubeleri birbirine
bağlamak için VPN kullanıyoruz. 3- Remote Access VPN ise şirket dışında
çalışmak durumunda olan mobil kullanıcıları, dial-up bağlantı kullanan
küçük ofisleri ve ev-ofisleri güvenli bir şekilde merkeze bağlamak için
kullanılır. VPN uzak bölgelerde, farklı ülkelerde ya da kıtalarda
ofisleri olan veya farklı bölgelerde çok sayıda mobil kullanıcısı olan
şirketler için ideal bir çözümdür. Çünkü lokasyon olarak dağınık
coğraftadaki yapıyı kiralık hat, Frame Relay vs. ile bağlamak hemen
hemen imkansızdır.
Ya da aşırı pahalı olacaktır. Mobil kullanıcılar firmalarına güvenilir
şekilde internet üzerinden VPN sayesinde bağlanabiliyorlar. Piyasada VPN
uygulaması yapmak için bir çok cihaz vardır. Örneğin Cisco site to site
için Router 7200, 3700, 3600, 2600,1700, 800 modelleri ile VPN
yapılabilir. Cisco PIX, FWSM Güvenlik duvarları ile de VPN mümkündür.
Remote Access VPN için ise Cisco VPN 3000 Serisi cihazlar
kullanılabilir.
Bu cihazlarla uğraşmak istemiyorsanız birçok Internet Servis Sağlayıcısı
sizin adınıza da VPN yaparak şubelerarası iletişiminizin güvenliğini
sağlayabiliyorlar. Microsoft’un da gerek Windows Server üzerinden
gerekse ISA Server ürünü üzerinden VPN tünellemesi yapabilirsiniz. Arada
NAT yapan bir cihaz varsa (ADSL modem gibi) bu durumda L2TP/IPSec
tünellemenin çalışmayacağını hatırlatmadan geçmeyelim.
İyi Çalışmalar.
Konu: IP Güvenlik Protokolü ve VPN teknolojisi 
